Digital Service Act: gli obblighi per i prestatori di servizi intermediari

Il Regolamento (UE) n. 2022/2065, cd. Digital Service Act (DSA) che diventerà pienamente efficace dal 17 febbraio 2024, è una pietra miliare nella regolamentazione dei servizi digitali nell'Unione Europea e mira a creare un ambiente online più sicuro e responsabile, imponendo nuove regole e obblighi ai prestatori di servizi digitali, in particolare ai prestatori di servizi intermediari.

In questo primo articolo, esploreremo gli obblighi che sono previsti in capo a tutti i prestatori di servizi intermediari per poi andare ad approfondire, in interventi successivi, gli obblighi specifici per i servizi di piattaforme online nonché quelli ancor più puntuali previsti per le cd. grandi piattaforme online (Very Large Online Platform - VLOP) ed i grandi motori di ricerca.

Nell'impianto del DSA, infatti, l'imposizione di obblighi nella erogazione dei servizi è strutturata in forma scalare, nel senso che alla categoria più ampia dei prestatori di servizi intermediari sono collegati determinati obblighi a cui se ne aggiungono altri nel caso in cui il prestatore effettui servizi di memorizzazione di informazioni, oppure gestisca una piattaforma online o, infine, rientri nella categoria delle VLOP o dei grandi motori di ricerca.

Il DSA: uno sguardo di insieme

Prima dell'introduzione del Digital Service Act, la Direttiva sul commercio elettronico del 2000 conteneva le principali linee guida per i servizi digitali. Tuttavia, con l'emergere di nuovi modelli di business e tecnologie, è diventata evidente la necessità di una revisione complessiva, che è stata introdotta dal legislatore europeo mediante il Digital Service Act, secondo la struttura sopra indicata, e tramite il Digital Markets Act che pone un accento più specifico nella regolamentazione della concorrenza dei mercati digitali.

Il DSA si connota per una serie di punti cardine:

1. Responsabilità dei prestatori: pur ribadendo il principio dell'assenza di un obbligo generale di sorveglianza in capo ai prestatori dei servizi intermediari (art. 8), il DSA introduce degli obblighi più stringenti in capo agli stessi per la rimozione dei contenuti illegali o dannosi, prevedendo anche un impianto sanzionatorio abbastanza elevato (fino al 6% del fatturato complessivo) in caso di inadempimento ad alcune sue disposizioni.

2. Trasparenza e Informazione: I prestatori di servizi sono obbligati a fornire informazioni chiare e dettagliate sui loro servizi, inclusi i termini di utilizzo e le politiche di moderazione dei contenuti.

3. Cooperazione tra Stati membri: Il Regolamento prevede un meccanismo di cooperazione tra gli Stati membri per garantire che le norme siano applicate in modo uniforme in tutta l'Unione Europea.

I servizi intermediari “di base”

Il Digital Service Act definisce i prestatori di servizi intermediari come quei soggetti che svolgono uno dei seguenti servizi:

• il semplice trasporto di informazioni (il cd. mere conduit);
• la memorizzazione temporanea di informazioni (il cd. caching);
• la memorizzazione di informazioni fornite da un destinatario (ossia da un utente del servizio) su richiesta dello stesso (il cd. hosting), servizi che potremmo definire come “di base”.

Per i fornitori di servizi di mero trasporto è stabilito che i medesimi non sono responsabili delle informazioni purché non diano origine alla trasmissione, non selezionino il destinatario della stessa e non selezionino né modifichino le informazioni stesse.

La memorizzazione temporanea non comporta responsabilità nel momento in cui il prestatore di tale servizio non effettui modifiche alle informazioni, si conformi alle condizioni di accesso alle stesse, le aggiorni tempestivamente, non interferisca con l'uso delle tecnologie necessarie a trattarle ed agisca prontamente per rimuoverle, quando a conoscenza del fatto che siano state rimosse dalla rete o il loro accesso sia stato disabilitato.

Infine, il prestatore dei servizi di memorizzazione è esente da responsabilità circa le informazioni memorizzate qualora non sia effettivamente a conoscenza delle attività o dei contenuti illegali e, non appena abbia tale conoscenza, agisca immediatamente per rimuoverli o disabilitarne l'accesso.

La disciplina sopra descritta in verità è analoga a quella già prevista nella Direttiva sul commercio elettronico (ed attuata in Italia con il D.Lgs. 70/2003). Anche la conferma dell'assenza di un obbligo generale di sorveglianza e la specificazione che eventuali indagini volontarie da parte del prestatore non fanno venir meno l'esenzione di responsabilità innanzi esaminata confermano l'impostazione precedente.

Gli obblighi del DSA per i prestatori dei servizi intermediari di base

Il Digital Service Act, però, introduce rilevanti novità. Come si è visto, infatti, l'esenzione da responsabilità per il prestatore opera solamente sino a quando il medesimo non sia a conoscenza della presenza di un contenuto illegale nei propri sistemi; nel momento in cui il medesimo ha cognizione di tale circostanza viene meno l'esenzione ed il prestatore può essere chiamato a rispondere della diffusione del contenuto illegale.

L'esecuzione degli ordini delle autorità. Molto spesso il prestatore di servizi intermediari di base viene a conoscenza di tale illegalità perché raggiunto da un ordine di un'autorità giudiziaria o amministrativa che la segnala, chiedendo di agire per contrastare la diffusione del contenuto illegale. La mancanza di uniformità e di un'indicazione precisa degli elementi che tali ordini devono contenere ha creato alcune incertezze applicative in questi anni, anche per le differenze che si riscontro nei vari Paesi dell'Unione Europea.

Il DSA interviene innanzitutto proprio sulla forma e requisiti degli ordini, indicando gli elementi minimi che essi debbono contenere e stabilendo anche che sia indicato l'ambito di applicazione territoriale.

L'ordine di contrastare uno o più contenuti illegali deve essere trasmesso al prestatore nella lingua che egli deve dichiarare nel pubblicizzare il punto di contatto unico, ed è previsto che, una volta ricevuto l'ordine, egli provveda ad informare l'Autorità che lo ha emesso (o altra Autorità indicata nell'ordine stesso) della sua esecuzione.

Interessante notare che il Regolamento obbliga il prestatore ad informare anche l'utente del servizio relativamente al ricevimento dell'ordine ed alle azioni compiute in sua esecuzione (oltre che dell'ambito territoriale e delle possibili azioni di ricorso), informativa che deve essere inviata al momento in cui viene dato seguito alla richiesta dell'Autorità o nel diverso momento indicato dalla stessa.

Analoga disciplina è prevista per gli ordini relativi alla fornitura di informazioni, per i quali sono previsti determinati requisiti, soprattutto in merito alle motivazioni ed alla proporzionalità delle richieste, che dovranno essere meglio definiti dai singoli Stati membri.

Da tali obblighi relativi all'esecuzione degli ordini delle Autorità ne discendono altri, sempre a carico di tutti i prestatori di servizi intermediari.

Una prima novità è quella relativa all'obbligo di istituire, a carico di tutti i prestatori intermediari, un punto unico di contatto che consenta alle Autorità di comunicare direttamente e per via elettronica con il prestatore.

Le informazioni relative al punto di contatto devono essere pubblicate in modo accessibile e sempre aggiornate, specificando anche la lingua o le lingue ufficiali degli Stati membri che possono essere utilizzate per inviare le comunicazioni, fermo rimanendo che deve comunque essere previsto l'invio nella lingua in cui ha lo stabilimento il prestatore di servizi intermediari.

In aggiunta al riferimento per le Autorità, il DSA prevede che venga reso disponibile un punto di contatto per gli utenti dei servizi, affinché possano comunicare direttamente per via elettronica con il prestatore ed anche fornendo la possibilità di scegliere mezzi di comunicazione che non si basino unicamente su strumenti automatizzati (quindi dovrà essere prevista la possibilità di intervento da parte di un operatore umano).

In conseguenza dell'applicazione del Digital Service Act sarà anche necessario intervenire sulle condizioni di contratto che disciplinano le prestazioni dei servizi, in quanto sarà necessario inserire nelle medesime tutte le informazioni relative alle restrizioni che eventualmente si vorranno imporre (sospensioni o cancellazione dei servizi, dell'account, etc.) specificando le politiche, procedure e misure per la loro applicazione.

Infine, il Regolamento prevede la messa a disposizione di una specifica relazione annuale di trasparenza che dovrà contenere:

1. il numero di ordini ricevuti dalle Autorità degli Stati, classificati in base al tipo di contenuti illegali, con indicazione dello Stato membro che ha emesso l'ordine ed il tempo medio impiegato a darvi riscontro;
2. le attività di moderazione eventualmente avviate di propria iniziativa, le attività svolte per fornire formazione e assistenza alle persone incaricate della moderazione, il numero e il tipo di misure adottate. Le informazioni devono essere classificate in base al contenuto illegale o alla violazione delle condizioni generali di servizio, nonché secondo il metodo di rilevamento e la restrizione applicata;
3. l'utilizzo di strumenti automatizzati per la moderazione dei contenuti, con indicazione degli indicatori di accuratezza di tali strumenti e il relativo tasso di errore.

È bene precisare che l'obbligo della relazione annuale non si applica qualora il prestatore dei servizi sia una microimpresa o una piccola impresa ai sensi della raccomandazione 2003/361/CE.